和錘子搶頭條的居然是DDoS攻擊!

8月25日晚，錘子手機新品牌堅果第一款手機公布，發布會意外延遲引發網絡“黑色半小時”大討論。多種猜測在網絡瘋傳，羅永浩在微博上證實官方網站遭受DDoS攻擊。據了解，錘子官網遭到高達數十G的流量攻擊，一度面臨全面癱瘓風險。錘子科技立即啟動應急預案，緊急接入騰訊云大禹系統。

DDoS攻擊沒有對錘子新品開放購買帶來影響，但這一事件卻再一次引發行業對于網絡安全的關注。

由于安全防護能力的參差不齊，作為最常見的網絡攻擊方式，DDoS往往能給大多數互聯網企業帶來沉重的打擊。幸運的是，一些在網絡安全上有深厚積累的云安全團隊，已經可以將安全防護能力對外開放。

本文基于騰訊云安全團隊的分享，梳理DDoS黑產，希望讓行業對網絡安全有更深認識。

DDoS黑產揭秘：以攻為業，利益至上

城東新開了一家牛肉面館，生意紅火，顧客絡繹不絕。某天，一個地方惡霸召集了手下一批小弟，一窩蜂涌入牛肉面館，霸占了所有座位，只聊天不點菜，導致真正的顧客無法進店消費。由此，牛肉面館的生意受到影響，損失慘重。

如果把這家牛肉面館看作是一家互聯網企業，那么這群地痞的惡行，就是典型的分布式拒絕服務，也就是我們所說的DDoS攻擊。

攻擊，只是手段。利益，才是永恒的目的。DDoS誕生近二十年，最初純粹是作為一種彰顯黑客能力的技術而存在，往后卻逐漸發展成為被人們用以逐利的工具。究其獲利方式，主要有兩大類：敲詐勒索和商業競爭。

??

圖1：DDoS發展史

一、敲詐勒索

相比于現實世界，互聯網可以說是一個更難以監督，同時更易于匿藏的世界。在這個虛擬世界里，無論是犯罪成本、風險還是法律強制力，都遠比現實世界來得低。

從現實延伸到網絡，敲詐勒索這門犯罪活動愈演愈烈。而DDoS由于成本低、實施容易等特點，在較早期就開始成為不法之徒在網絡上敲詐勒索的主要方式。首先，勒索者或勒索組織選取目標網站，對其發起示威性的DDoS攻擊，使其業務受到影響。接著，勒索者向受害者發送勒索信，收取所謂的「保護費」。如果受害者不按照要求支付費用，就會繼續遭到更猛烈的攻擊。因此，對于眾多互聯網業務的經營者來說，DDoS敲詐勒索始終是一個揮之不去的夢魘。

1、在線盈利企業成獵物

如果說早期黑客所進行的DDoS更多是表現為無序的攻擊，那DDoS敲詐勒索便是有特定目標、有一定計劃的犯罪行為。不法之徒所選取的敲詐勒索的對象，往往是一些通過在線經營而盈利的業務，例如在線交易市場、博彩網站等等。另外，那些缺乏安全防護措施或者安全防護能力低下的在線業務或機構，也容易成為這些不法之徒的獵物。

而在攻擊時間的選擇上勒索者也很有考究，他們一般會選擇在網站流量高峰期或者網站促銷活動開始前發動DDoS攻擊，使其業務遭到嚴重影響，增加受害者支付「保護費」的可能性。

??

圖2：DDoS敲詐勒索信

2、周而復始的敲詐

現實中的綁匪在收取保釋金后，未必會遵守約定乖乖放人。網絡世界也是如此，DDoS攻擊者并非都是講信義的黑客，隱藏在屏幕后面的往往是一個個貪婪的逐利者。

有時候，在受害者繳納了商定的「保護費」之后，該網站就會被黑客列為容易屈服的網站名單中。根據這份名單，攻擊者會偽裝成其他的攻擊組織再次進行敲詐勒索，或者直接撕破臉皮繼續發動攻擊，向其索要更多費用。

3、勒索間接利益

而有的攻擊者向受害者所勒索的，既不是現實貨幣，也不是虛擬貨幣，而是其他間接利益。例如，一些受到攻擊的游戲運營商會被脅迫在其游戲中植入廣告，攻擊者再通過這些廣告渠道獲利。再例如，一些攻擊者會把網吧作為專門的攻擊對象，要求網吧植入僵尸程序，借此擴充自己的僵尸網絡。

雖然攻擊者沒有從這種變相敲詐勒索中直接獲得錢財，但通過植入廣告或者僵尸程序，他們也實現了間接獲利。

??

圖3：DDoS攻擊軟件

#p#

二、商業競爭

自古以來，商業競爭就是市場經濟的一部分。為搶占更多的市場份額、獲得更高的經濟效益，商品經營者展開角逐，相互較量，最后汰弱留強。

商業競爭在互聯網這個「萬億市場」中尤為激烈。乘著「互聯網+」的熱潮，無數滿懷熱情和理想的創業者紛紛投奔到這片紅海，老大想要穩坐第一，老二想要博取上位，老三想要搶占份額，老四也想分一杯羹。有些行業競爭者甚至為了利益不擇手段、不顧法紀。在這種惡性競爭態勢下，DDoS也成了一種邪惡的競爭手段，被互聯網業務的經營者用以妨礙競爭對手的業務活動，打擊對手的聲譽，從中獲取競爭優勢。

1、電商和游戲深受其害

目前，這種利用DDoS進行惡性競爭的情況主要存在于兩大互聯網行業：電商行業和游戲行業。O2O模式成為時下新寵，促使電商行業風生水起;而在線游戲用戶量龐大，利潤豐厚。正所謂「樹大招風，財大招賊」，在利益和貪欲的驅使下，DDoS攻擊充斥在這兩個行業中。

另外，在創業初期的互聯網業務也較易遭受DDoS攻擊，這些攻擊大多數是來自行業壁壘同盟。行業壁壘同盟為了現有的市場份額不被更多地瓜分，遂通過攻擊，共同抵制同盟外的「行業新人」。面對嚴峻形勢，很多弱小的互聯網初創企業只能早早夭折。

2、 助長黑色產業

有人的地方就有江湖，有需求的地方就有市場。在互聯網地下市場中，利用DDoS進行商業競爭已經成為一種低成本、見效快的現象，因此，在網絡世界中明碼標價提供DDoS攻擊服務的黑產市場也隨之不斷擴張，并逐漸形成一條成熟的黑色產業鏈。

在這個黑色產業中，DDoS黑客不再是單純發泄不滿的年輕人，也不再是組織攻擊的主角，他們成了同行競爭者所雇傭的「打手」。從事DDoS攻擊服務已有四年的K哥甚至信心滿滿地說：這是一份「零風險」的活兒，只要不打政府網站，沒人會管，管也管不了。

3、兩百塊搞定一單

當某個行業發展到一定階段，就自然而然衍生出一些業內行規。在提供DDoS攻擊服務的黑市中，黑產從業者要想有生意，首先需要接收「D單」和「C單」。所謂「D單」，就是客戶要求對某個目標發起DDoS的訂單。「C單」則是指使用CC攻擊的訂單(CC攻擊：DDoS攻擊中較含技術含量的一種)。除此之外，DDoS黑市上還有「包天單」、「包夜單」等說法，分別指對目標進行整天、整夜攻擊的大訂單。

目前黑市上，根據攻擊難度和攻擊時長，完成一份D單的報酬從100元到上千元不等，一般是200元一單。據一位專門接單的黑產人員透露：憑這份活兒，一個月能凈賺3000元人民幣以上。

??

圖5：DDoS攻擊交易

4、黑吃黑現象普遍

在交易的時候，「先測試，后付款」是黑產人員與客戶之間相沿成習的規定。攻擊者先為客戶對目標進行小試牛刀的DDoS攻擊，讓客戶看到效果后再進行付款。收到約定的款項后，攻擊者才會對目標進行持續性的攻擊，攻擊力度和時長根據客戶要求而定。另外還有一種簡單粗暴的交易規則：直到攻擊者把目標網站徹底打癱瘓了，客戶再一次性付款，行內俗稱「支持測試，打死付款」。

然而，在DDoS接單黑產中，也存在較多黑吃黑現象——客戶騙取免費「測試」后逃之夭夭，或者接單人員收取客戶的款項后，不按照約定提供攻擊服務，直接拉黑對方。

5、攻擊工具唾手可得

外行人可能會認為DDoS攻擊是黑客的專利，實際上，進行DDoS攻擊的門檻變得越來越低，這很大程度上是由于DDoS攻擊工具唾手可得。

現在，DDoS攻擊所需的工具一般在網絡上可以直接免費下載，稍微好一點的也能在網上廉價購得。這些工具使用簡單、方便，只要輸入攻擊目標的地址就能進行攻擊。此外，攻擊所需的流量也可在網上租用，一般按時按量收費。

??

圖6：DDoS攻擊所需的流量可在網上租用

6、會打字就會DDoS

有了攻擊工具和流量，進行DDoS便不再是難事。因此，除了接收攻擊訂單，有的攻擊者還有償接收學徒，提供DDoS教學。目前黑市上學習DDoS的學費從100元到500元人民幣不等。有的黑產人員甚至提供免費教學，前提是學徒必須租用由他們提供的工具和流量。從學徒收來的學費和租用費，也成了這些黑產從業者收入的一部分。

說到學習難度，黑產從業者承諾：只要會打字，就保證能學會DDoS。事實上，這種說法并不假，只要具備攻擊工具(軟件)和攻擊資源(流量)，發起DDoS攻擊的人可以是完全不具備專業技術知識的人。

??

圖7：黑產人員招收學徒

曾有一位互聯網大拿說過：安全，是互聯網企業的第一道門檻。縱觀被DDoS充斥的互聯網產業生態圈，這句話顯得格外在理。